Forscher am Lehr­stuhl für Netz- und Datensicherheit des Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum haben Sicherheitslücken bei Java entdeckt. Mittlerweile gibt es Softwareupdates. Das Praxismagazin für Finanzthemen Onlineausgabe des Printmagazins Finanzen Markt & Meinungen.

 
 
25.04.2014 12:01 Uhr
ORACLE BEHEBT JAVA SICHERHEITSPROBLEM

Forscher decken Sicherheitslücke bei TLS-Verschlüsselung in Java auf

Düsseldorf, 25.04.2014 12:01 Uhr (Wirtschaftsredaktion)

Forscher des Horst Görtz Institut für IT-Sicher­heit der Ruhr-Univer­sität haben drei Schwach­stellen bei Java entdeckt. Anwender, die Java Secure Socket Exten­sion (JSSE) einsetzen, sollten die aktu­ellen Soft­wa­reu­p­dates instal­lieren.

Das Forscher-Team um Prof. Dr. Jörg Schwenk rät, die Updates für Anwendungen, die JSSE nutzen, schnell zu installieren.

Wie OpenSSL ist auch JSSE für Java eine TLS-Implementierung; Oracle stellt sie als Open Source-Software zur Verfügung. Über zwei der drei entdeckten Schwachstellen in JSSE konnten die IT-Sicherheitsforscher die Verschlüsselung mittels TLS komplett brechen. Sie informierten Oracle über die Sicherheitslücken, bevor sie diese öffentlich machten.

JSSE war anfällig für sogenannte Bleichenbacher-Angriffe. Die Forscher mussten einmal eine verschlüsselte Verbindung zwischen Server und Client – etwa einem Web-Browser – aufzeichnen. Anschließend stellten sie ein paar tausend Anfragen an den Server. Aus den Antworten des Servers konnten sie den Schlüssel berechnen und den aufgezeichneten Datenaustausch zwischen Server und Client entschlüsseln. Bei der ersten Schwachstelle gab der TLS-Server über Fehlermeldungen kritische Informationen weiter. Die zweite Schwachstelle basierte auf unterschiedlichen Antwortzeiten des JSSE-Servers. Bleichenbacher-Angriffe zählen zu den komplexesten kryptografischen Angriffen, den sogenannten adaptiven Chosen-Ciphertext-Angriffen.

Mit dem April-Patch fixt Oracle einen weiteren kryptografischen Algorithmus (PKCS#1 v2.1, auch bekannt als RSA-OAEP), der ebenfalls für einen adaptiven Chosen-Ciphertext-Angriff anfällig war, wie das Bochumer Team zeigte. Dieser Algorithmus steht nicht mit TLS in Zusammenhang, wird aber in anderen Anwendungen wie Web Services eingesetzt.


(Quelle: Ruhr-Universität Bochum)

 

  • Computer
  • Software
 
Artikel »   Drucken Versenden

 


Kommentar schreiben »



Kommentar:
Bei einer Antwort möchte ich per Email benachrichtigt werden an
      meine Emailadresse: (wird nicht veröffentlicht)

Bitte übertragen Sie die dargestellte Zeichenfolge in das rechte Feld:

* Bitte halten Sie sich an die Netikette und vermeiden persönliche Anschuldigungen, Beleidigungen und Ähnliches. Verbreiten Sie außerdem keine Unwahrheiten, Vermutungen, Gerüchte sowie rufschädigende oder firmeninterne Informationen. Beachten Sie die Rechte Anderer und urheberrechlich geschützter Quellen. Bei rechtlichen Verstößen haften Sie in vollem Umfang. Aus diesem Grund sind wir gezwungen, Ihre IP-Adresse und Ihren Provider zu speichern. Mit dem Speichern Ihres Kommentars erklären Sie sich mit diesen Regelungen einverstanden.

 

Weitere Artikel zum Thema:

nach oben
Schnelleinstieg in die Kategorien ...
Stichwortsuche in unseren >9.000 Fachbeiträgen
Telekommunikation-News
Blockchain Technologie Infomedia


FuE - Informationstechnologien - Softwarelösungen



Aktuelle Artikel aus der Rubrik Innovation
Internet der Dinge - Die digitale Zukunft
Der nächste große Schritt in die digitale Welt – Die Vernetzung von Alltagsgeräten

» Mehr zum Thema …
Interessante Innovationen und Forschungsberichte
Unternehmen: Chicago Booth School of Business
» Building Internet Start-Ups
Unternehmen: Fraunhofer ISI/Deutschland
» Forschungsarbeiten zur Elektromobilität
Unternehmen: Berlecon Research
» iPhone 4 Studie zur Businesstauglichkeit
Unternehmen: Parrot/France
» iPhone steuert Mini-Helicopter
Der Einstieg in die Online-Welt
Das Bundesministerium für Wirtschaft und Technologie (BMWi) baut mit der Initiative Internet erfahren seine bisherigen Aktivitäten zur Integration aller Bürgerinnen und Bürger in die Informationsgesellschaft aus.

» Mehr erfahren...

Institutionen und Informationsquellen
Das BSI ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit.
Publikationen des BSI...
Expertenforum -Innovation-
Dr. Marianne Wulff/VITAKO
» Sicherheit und Cloud Computing
Jürgen Gallmann (visionapp)
» Mobility und Cloud
BITKOM
» Sicherheit im Internet
Ressource Wissen: Interessante ThinkTanks
Finanz-x-press
Abonnieren Sie den Finanzen Markt & Meinungen Newsletter:
 

 
Finanzen Markt & Meinungen - Das Praxismagazin für Finanzthemen
Onlineausgabe des Printmagazins Finanzen Markt & Meinungen.

Portalsystem 2018 © FSMedienberatung
Contentservice: Javascript Newsticker für Ihre Internetseite RSS Feed XML 0.9
0,385 Sek.